いーやーすーぎー
ちょっと前に、某所でサーバ構築のお話をさせていただいてるのだが、そこでの会話
とのことだったので、そのようにしてみました。
「新しく来た方」の要望もあり、webminをインストールして、外からログを管理できるようにしておきました。
そして、今日の午前、連絡がありました
- どうされました?
- なんか、よくわからないんだけど、ディスクフルになったらしい
- まぁ、その可能性もありますよね。何か大きいもの入れました?
- 特に入れたものはないんだけどね
- こちらからログインして確認してもよろしいでしょうか?
- よろしくお願いします。
さくっと入ってみたところ、sshでadminってアカウントでログインした形跡が山ほど残ってる・・・・
勝手に、/shared/ってフォルダが出来ていて、その中に、.mp3とか.aviとかってファイルが有る。
許可を取って、adminって管理者のパスワードを、johnで調べたら、1秒かからず、"admin"って出てきたorz
確かに、adminってユーザ作りました。でもそれは、パスワードを設定していないので、外から入れないはず・・・。
- 確認したいんですが
- はい。
- adminってユーザにパスワード設定されました?
- たしか、私が作ったときは、外から入る必要がないとのことだったので、パスワードを設定しなかったのですが
- あぁ、それね。設定されてなかったから、設定したよ
- それって、パスワード何にしました?
- 管理者が設定したので、聞いてみます。
- adminだそうです。
- ・・・。管理者の方電話口に出してください。
- 代わりました。
- adminのパスワードですが
- はい。設定しましたよ。危険じゃないですか、パスワード無しなんて
- えっと、使ってるシステムでは、パスワード無しではローカルではログインできますが、外部からログインできません。
- そうですね。だから設定したんですよ。
- えっと、それを設定する必要ってありますか?
- 面倒じゃないですか。いちいちサーバに出向いて設定するのって。
- そのために、あなたのアカウントでwebminを操作できるようにしたんですよ?
- webminは、社外からアクセス出来ないじゃないですか
- 社外から操作できるようにするってのは、頂いた仕様書にはありませんし、セキュリティ上危険ですよ?
- それが出来ないから、外部からアクセス出来るようにと、adminにパスワードを設定したんですよ
- そのパスワードがadminですか。それって、第三者からアクセスされてしまいますけど、その辺は認識されました?
- 何の話だ?adminのパスワードを知ってるのは私だけだ。外部のものが知る訳がない。
- では、一度ログインして、アクセスユーザを確認してください。
- あ!なぜ、海外からアクセスしてるんですか!あなたの管理疑いますよ!
- ちょっと待ってください。adminっていうユーザにadminってパスワードを設定したら、誰でも入れちゃいますよ
- そんなはずはない。そんな話は聞いたことがない
- 実際に、見ていただいたようにあなたが設定したパスワードを使ってログインされてますよね。
- あなたがパスワードを設定しなかったんじゃないか
- 見ていただくとわかりますが、貴殿がパスワードを設定するまでは、adminでのログインはありませんが・・・
- そらそうだ。ログイン出来な・・・あ!
- おわかり頂ければ幸いです
- でも、私がパスワードを設定したことと、外部からファイルを置かれたこととは別問題だと思うが?
- では一度、SCPというキーワードでネット検索されることをおすすめしますよ
- 調べてから、電話する。
これが、11時の時点でのはなし。そして、この文章を書いてる現時点で、まだ電話がありません。
セキュリティ向上のために、パスワードを設定しなかったことが、仇となりましたか・・・・。